"אני מבקש את אישורך העקרוני לטוס לענן החברה באירופה", פניתי אל מנכ"ל החברה כמה חודשים לאחר שהתחלתי עבודתי בחברה כיועץ לאבטחה פיזית.
בשביל מה לך לטוס עד לשם, גם ככה יש לנו פה לא מעט עבודה לעשות, אחרי סקר הסיכונים שהנחת לנו על שולחן ההנהלה. וחוץ מזה, זה המקום האחרון שהייתי חושש ממנו. הרי מדובר בענן של אחת משלושת החברות המובילות בעולם בתחום, ענן שמאחסן את הגדולות שבחברות המידע בעולם כולו ואין כל ספק בליבי שהמקום מאובטח בצורה יוצאת מן הכלל טוב. מה גם שאנשי ה IT האמונים על הענן, תמיד חוזרים מביקורי עבודה במקום תוך התפעלות גדולה על תהליך הכניסה הארוך שהם עוברים ועל כמה שהמקום מאובטח טוב.
תרשו לי לחזור כמה שבועות אחורה, אל היום שבו קיבלתי טלפון ממנהל אבטחת המידע של החברה ( CISO - "Chief Information Security Officer" ), שביקש סיוע קטן שלי באבטחה פיזית של פרויקט גדול שהחברה מוציאה לדרך. קבענו פגישה במשרדי החברה בה הוצג לי הפרויקט שהוגדר כנכס גדול עבור החברה לאור העלות הגדולה שלו.
אני – " האם אי פעם היה בחברה קב"ט או מנהל אבטחה פיזית"?
מנהל אב"מ – "לא. הנושא מרוכז במחלקת IT ומטופל באופן בסיסי ביותר".
אני – "מה הוא כולל"?
מנהל אב"מ – "התקינו מערכת מצלמות ומערכת בקרת כניסה במשרד הראשי".
אני – "ומה הם הנכסים העיקריים של החברה"?
מנהל אב"מ – "תכלס אחי, אין לי באמת מושג. אני משער שזה המוצר שאנחנו מייצרים ומוכרים, אולי חדרי השרתים וכל פרויקט שאנחנו עושים".
אני – "אז למה פתאום החלטת להביא אותי לפרויקט הזה"?
מנהל אב"מ – "כי הוא פרויקט הדגל שלנו, הוא עתיד לחולל כאן מהפכה ברווחי החברה, משהו שיהיה שובר שוויון מול המתחרים שלנו".
הפרויקט אכן היה גדול ומרכזי, כזה שבהחלט הגדרתי אותו כנכס המרכזי של החברה ללא כל ספק. הכרתי את החברה על בוריה, את מטרותיה העסקיות, תהליכי העבודה, הלקוחות, העבר, העובדים והתוכניות לעתיד. הפרויקט עצמו לקח מעל שנה לתכנן ולהוציא לפועל בהיבט הפיזי ולשמחתי קיבלתי את מלוא הסיוע מההנהלה לכל דרישותיי הכספיות ובהיבטי כוח אדם, כמובן לאחר הצגה של תכנית אבטחה מלאה ומפורטת להנהלה שכללה גם עלויות.
במקביל ביצעתי ללא בקשה מפורשת של ה CISO סקר סיכונים על החברה, הגדרתי דבר ראשון את הנכסים המרכזיים והמשניים, לאחר מכן ערכתי מחקר מודיעיני לגבי היריב (האויב) הפוטנציאלי של החברה, משם עברתי להגדרת האיומים על החברה וגיליתי פערים גדולים מאוד, או יותר נכון גיליתי שאין באמת כל התמודדות אל מול האיום הפיזי, קרי הגעה פיזית אל נכסי החברה והשמדתם, גנבתם או שיבוש עבודתם.
לאור המודיעין שאספתי מהרשת ובסיוע חברת איסוף מודיעין גלוי, שיחות עם עובדים בחברה וביצוע תרגיל חדירה ע"י צוות אדום חיצוני, בניתי והגשתי תיק סקר סיכונים המגדיר את כלל הבעיות והאיומים שיש לחברה בתחום הפיזי. לא נדרש הרבה יותר מזה ונתבקשתי להכין בדחיפות תכנית אבטחה שתיתן מענה אל מול מגוון הדפ"אות שהצגתי.
כעבור למעלה משנתיים של עבודה, ניתן לומר כי האבטחה הפיזית של החברה נמצאת במקום הרבה יותר טוב, מקבלת התייחסות שזה לצערי כבר הרבה יותר ממה שניתן לראות עדיין במאות ואלפי חברות גדולות, אשר משקיעות מיליונים בסייבר אך נוטות להתעלם מהצד הפיזי המתחייב של אבטחת נכסים.
אבל נחזור לתחילת המאמר, אל הנושא לשמו התכנסנו והוא "אבטחה פיזית של הענן". מהר מאוד הבנתי כחלק מסקר הסיכונים, שכלל המידע של החברה נשמר בענן ומבחינתי המצאות כל הביצים במקום אחד הדליקה נורה אדומה. כל הדיוט יודע שאין באמת מדובר בענן אלא בחוות שרתים גדולה אי שם בארץ או במקום אחר בעולם, אשר מאחסנת, ושומרת את המידע מול איומי סייבר וכביכול גישה פיזית אליו.
אדוני המנ"כל, אני סמוך ובטוח שהענן מאובטח בצורה לא רעה בכלל ואין לי כל ספק שאנשי ה IT התרשמו מאוד מתהליך הכניסה שלהם למתקן, אבל ברשותך מכיוון ומדובר בכל המידע של החברה, אני מניח שהוצאה של כמה אלפי אירו בודדים עבור טיסה ובחינה שלי את המקום לא תדיר שינה מעינך, אולי דווקא אם לא אטוס, תנדוד שנתך.
ובכן ידידיי, טסתי, בחנתי, התרשמתי וכפי שאתם משערים גם נדלקו לא מעט נורות אדומות מולי.
אנסה להיות קצר ותכליתי ואפתח בשאלה שכל אחד מאתנו בוודאי שואל עצמו, כך אני מניח – "האם אני יכול לסמוך על חברת אבטחה שתבצע עבורי פעולות אבטחה ללא שאבחן אותה, אכיר את ההיסטוריה שלה, אבדוק ואתרשם ממנה באופן אישי"?
תמיד תטילו ספק, אל תסמכו על אף אחד בעיניים עצומות וזכרו – האחריות היא עליכם הקב"טים.
אז נכון, אמנם המון כסף מושקע והענן מאובטח בצורה טובה ומקצועית לא רעה בכלל, ואפילו ראיתי חברות אשר מציבות שומר פרטי בכניסה לחווה שלהם בתוך חוות הענן הגדולה. אבל התגלו אצלי לא מעט פערים בשיטת האבטחה, בטיפול באירוע ובהעברת דיווח לחברה במקרה של ניסיון חדירה לחווה.
מצד אחד תהליך הכניסה בהחלט לא היה מבייש עליה לטיסה בחברת אל על, אפילו של נוסע חשוד, אבל עצם היותי לקוח, פתח לי בעצם את כל הדלתות לחווה ויכולתי להסתובב ללא כל השגחה בתוך המקום ולחלוף ליד כל החוות של כל החברות ששוכרות שם מקום. נכון כל חווה נעולה והמקום מפוקח ע"י מצלמות, אבל כל מה שאני צריך כשלב ראשון הוא להירשם כחברה אמתית והופ אני בפנים.
אז מה הייתי ממליץ לעשות לכל מנהל אבטחה פיזית שיש לו בחברה מידע בענן?
1. חשוב ביותר לבצע סיור וניתוח שטח באופן אישי, תוך היכרות אישית עם מנהל ושיטת האבטחה של המקום. אין כמו היכרות על בסיס אישי ואין טוב ממראה עיניים.
2. מיקום – מתחלק לשניים:
1) בחירת החווה עצמה – הייתי שוקל בכובד ראש שתהיה מחוץ לישראל או לפחות מרוחקת מעל 100 ק"מ מהמשרד הראשי במקרה של רעידת אדמה שעלולה למחוק את המשרד וגם את החווה למרות שהיא נותנת מענה לא רע כנגד אסונות טבע (Disaster Recovery).
2) מיקום השרתים שלנו - השתדלו לבחור מקום בתוך החווה שיהיה מבודד ולא מזוהה.
3. מידור – לנושא זה חשיבות עליונה בראייתי כאשר אנו מדברים על ענן:
1) אף עובד בחברה לא צריך לדעת היכן הענן פרט להנהלה בכירה, קומץ מאנשי IT, צוות מצומצם מהאבטחה ותו לא.
2) לדרוש מידור ולא לאפשר פרסום דבר השימוש שלנו בענן ע"י החברה המשכירה לצורכי שיווק שלה.
3) להימנע לחלוטין משילוט כלשהו בחווה עצמה ולדרוש מידור גם של עובדי החווה עצמה עד כמה שניתן.
4. אמצעי אבטחה – בכל ענן תמצאו מצלמות, אזעקות, גלאים, מערכות בקרת כניסה, צוות מאבטחים, חדר בקרה ועוד. כל אלה אחראים על אבטחת המקום באופן גורף ובד"כ אינם יורדים לרמת החברה. כלומר, המענה הוא אחיד לכולם. אי לכך הוסיפו מנעול וקוד משלכם, דרשו התקנת אמצעים נוספים שלכם כגון מערכת אזעקה ומצלמות בחווה של החברה, שישדרו לאחור אל מרכז הבקרה שלכם או אליכם באופן ישיר לנייד בכל מקרה של פריצה ו/או כניסה לחווה. כלומר תהיו בשליטה מלאה על הענן הקטן שלכם בים העננים שבחווה.
5. עבודה בשילוב ידיים עם ה IT - זכרו כי יש להם גישה למקום והם נוהגים להגיע לענן אחת לתקופה לצרכי תחזוקה ועדכונים. הם גם ידעו לפנות אליכם בכל מקרה של חשד שלהם לאירוע בענן במקביל.בנוסף סביר ביותר להניח שיש להם נציג מקומי במקום לטובת טיפול בתקלות טכניות שעלולות להשבית את עבודת החברה לחלוטין. וודאו שאנשים אלו עוברים בדיקת רקע או כל בדיקה אחרת שלכם על פי ההגדרות בטבלת סיווג המשרות של החברה.
6. אל תהססו לעשות סקר שוק בין חברות הענן, בצעו בחינה מקיפה לרמת האבטחה ודרשו לשכור שירותים רק של ענן המאפשר לכם לשלב את האבטחה שלכם איתם.
זכרו – חוזק השרשרת הוא כחוזק החוליה החלשה
Comments